Am 8. Juli 2005 veröffentlichte der Wall Street Journal Kolumnist Jeremy Wagstaff einen Artikel über das Schützen von persönlichen E-Mail Konten vor Angriffen.
Dabei bezog er sich auf die Erfahrungen des Falun Gong-Praktizierenden Songfa Liu mit einer Hightechattacke: „Songfa Liu ist Geologe, der im Dienste der Australischen Regierung in Canberra arbeitet. Er ist vormaliger chinesischer Bürger und praktiziert Falun Gong, die spirituelle Praktik, die in seinem früheren Heimatland verboten ist. Im Oktober 2003 versuchte jemand in sein australisches E-Mail Konto einzudringen, indem er mit unterschiedlichen Passwörtern 400 Mal in einer Stunde anklopfte. Der Eindringungsversuch – bekannt unter der Bezeichnung ‚Wörterbuchattacke’, weil er bei dem Versuch ein Wort nach dem anderen verwendet, in der Hoffnung, das Passwort zu treffen – kam über eine Internetadresse in Südkorea und ereignete sich an einem Abend, als Herr Liu mit seiner Familie zu Hause und in der Nähe seines Computers war.“
Der Artikel führt weiter aus: „Herr Liu ist nicht allein, zumindest unter den Falun Gong-Praktizierenden. Er sagt, ihm seien zwei weitere Fälle bekannt, in seinem Kreise; sein E-Mail-Provider, FastMail, bestätigt den Vorfall und gibt an, dass noch verschiedene andere solche Versuche stattfanden, jedoch alle ohne Erfolg. Jeremy Howard, leitender Angestellter des in Melbourne stationierten E-Mail Providers, erklärt dazu, der Verdacht des Nutzers, dass hinter den Attacken, Agenten der chinesischen Regierung stünden, könne nicht bestätigt werden, bemerkte aber weiterhin, wer auch immer das tue, arbeite hochprofessionell. ‚Die Leute, die in diesen Fall verwickelt sind, sind kompetenter und entschlossener, als irgendeiner sonst, wie wir gesehen haben.’“
Herr Wagstaff wandte sich dann dem Problem der Verletzbarkeit von E-Mail Konten zu und was diese Angelegenheit für die breite Öffentlichkeit bedeutete: „…in dem Maße, wie weiträumige Web-Mail Dienste, wie Google’s Gmail wuchern, werden E-Mail Konten als Ziele attraktiver. Google und andere hoffen, dass man sein ganzes Leben Online abspeichert (sie versuchen über Suchanzeigen durch Sie, Geld zu verdienen, sooft Sie eine E-Mail lesen, die Sie auf ihrem Computer abgespeichert haben). Das klingt alles großartig, ist aber nicht ohne Risiko. Denken Sie an all die sensitiven Informationen in einem E-Mail Datenvolumen von 1 Gigabyte, von Online Aufträgen, über Kreditkartennummern, sensitive kommerzielle Informationen, die einem Wettbewerber nützen könnten oder Sie erpressbar machen.
„Und, um für eine Sekunde technisch zu werden, es ist nicht nur das Web-Mail, welches es angreifbar ist. Viele E-Mail Dienste benutzen einen Prozess, IMAP genant, welcher mindestens zwei Versionen Ihrer Mailbox abspeichert – eine auf Ihrem Computer (oder Computern) und eine auf ihrem Remote-Server. Wenn Sie ihren Computer mit der Online Mailbox verbinden, synchronisieren sich diese miteinander. Das ist großartig, wenn Sie mehr als einen Computer nutzen und überall, wo Sie sich befinden, eine sich auf dem neuesten Stand befindliche Mailbox haben. Es ist auch toll für die Datensicherung, falls Sie einen Computer wegen Diebstahls oder Ausfalls verlieren, steht Ihnen immer noch Ihre Online Mail-Box zur Verfügung. Doch da gibt es auch noch eine Kehrseite: Falls jemand Ihr Passwort herausfindet, kann er in Ihre Online Mail-Box eindringen. Das Entscheidende im Falle von Web-Mail oder IMAP: Sie mögen keine mächtigen Feinde haben, doch falls Sie Ihre E-Mails Online abspeichern, sind Sie dennoch der Gnade von irgendjemandem ausgeliefert, der Ihre E-Mail Adresse ausknobelt.“
Die Kolumne stellt fest: „die Falun Gong Fälle beleuchten ein Problem, das eigentlich nur schlimmer werden kann. Aus welchem Grund auch immer – politischem, persönlichem, kommerziellem oder lediglich kriminellem – Ihr Online E-Mail Konto ist so verletzlich wie ihr Passwort.“
Das Wall Street Journal bot praktikable Lösungen für das Problem der E-Mail Sicherheit an: „Die erste Verteidigungslinie ist ein gutes Passwort. Wenn Sie ein gutes Passwort verwenden, sind Sie ziemlich sicher“, sagte Sydney Low, der einen Online E-Mail Dienst betreibt, der Alien Camel (aliencamel.com) heißt. Ich möchte Sie nun nicht mehr damit langweilen, wie man ein gutes Passwort auswählt, doch der einleuchtendste Hinweis ist, nicht ein solches zu haben, das Leute, welche die „Wörterbuchattacke“ anwenden, direkt treffen könnten. Anders ausgedrückt: Wählen Sie eine Kombination von Buchstaben und Zahlen, welche sie in Erinnerung halten können, das aber kein Wort ist, das man im Wörterbuch finden könnte.
„Zweitens, falls Sie wertvolle E-Mails Online abspeichern (und bedenken Sie, alles könnte für irgendjemanden wertvoll sein), sollten Sie prüfen, welche Datensicherung Ihr Datenbankbetreiber einsetzt. Damit ist gemeint, falls jemand in Ihr Konto eindringt und Unheil anrichtet. Alien Camel zum Beispiel hat eine vollständige Datensicherung auf einem anderen Computer, an einem anderen Platz. „Das ist vielleicht mehr, als bei den meisten geschäftlichen Sicherungsstrategien“, sagt Herr Low.“
Der Artikel erwähnt, dass viele Falun Gong-Praktizierende von Kanada nach Australien einen sicheren Dienst, wie FastMail, einsetzen: „Herr Liu wechselte auf Empfehlung eines Mitpraktizierenden zu FastMail, da dieser ihn warnte, dass sein E-Mail Konto gegenüber Attacken verwundbar sei. „Einige Monate später, nachdem sein E-Mail Konto attackiert worden war, war er für diesen Hinweis dankbar. Ich nahm diese Warnung nicht sehr ernst, bis sich dies ereignete“, sagte Herr Liu.
„FastMail prüft die Passwörter seiner Kunden, um zu testen, ob sie leicht erraten werden können, eine Maßnahme, die sicherstellte, dass Herrn Liu’s Eingang intakt blieb. Sodann half ihm jemand von FastMail, sein E-Mail Konto durch die Einrichtung von etwas, was „alias“ Konto genannt wird, zu schützen. Kurz gesagt, ein alias ist wie eine Postlageradresse, die man jemanden bekannt gibt, von dem man nicht möchte, dass er in der Lage ist, die wirkliche Adresse herauszufinden. Nun, während meine wirkliche E-Mail Adresse jeremy@home.com lauten könnte, würde ich Ihnen das nicht mitteilen; stattdessen würde ich Ihnen nur eine E-Mail Adresse wie pseudonym@home.com geben. Die E-Mails beider Adressen kann ich empfangen, doch wenn Sie meine wirkliche Adresse (jeremy@home.com) nicht kennen, sind Sie nicht in der Lage, meine Online Box ausfindig zu machen. Sie wären also auch nicht in der Lage, sie zu hacken. Das ist genau das, was Herr Liu und andere Falun Gong Nutzer von FastMail getan haben und keiner von Ihnen hat über spätere Attacken berichtet.
Das Wall Street Journal bietet den folgenden Hinweis an: Geben Sie niemals die E-Mail Adresse bekannt, die Sie als wirklich wichtig erachten. Sollte schließlich die E-Mail Adresse doch in die Hände von Spammern (Werbemüllversendern) gelangen, werden Sie sie nie mehr loswerden. Es gibt da zwei einfache lohnende Tricks zum ausprobieren, wobei es davon abhängt, welche besonderen Merkmale Ihr E-Mail Provider anbietet:
„Falls möglich, richten Sie eine alias-adresse ein, die Sie Dienste oder Personen bekannt geben, denen Sie nicht ohne weiteres vertrauen. Alien Camel zum Beispiel, ermöglicht Ihnen bis zu fünf „frei verfügbare E-Mail Adressen“ einzurichten, die dann zu Ihrem normalen E-Mail Konto umgeleitet werden. Sie können sie jedoch löschen, wenn Sie diese nicht mehr länger benötigen (oder wenn sie in die Hände von Spammern gefallen sind).
Einige Gesellschaften bieten ausgeklügeltere Versionen dieser Art von Diensten an: Testen Sie die in Texas gelegene Privacy Inc., die eine freie Version ihrer Opaque Software anbietet, welche Ihnen eine limitierte Anzahl von aliases ermöglicht, falls Sie solche für erforderlich halten.“
Die Kolumne schließt mit der folgenden Richtlinie, zur Absicherung der E-Mail Sicherheit: „Geben Sie niemals ihre dienstlichen oder privaten E-Mail Adressen an jemanden, Online oder Offline, solange Sie diese Leute nicht kennen. Geben Sie diesen stattdessen ein Gmail oder andere Web-Mail Adresse, die für Sie nicht so wichtig ist.“
